第10章信息系統(tǒng)安全等級與

1、第第10章章 信息系統(tǒng)安全等級與標準信息系統(tǒng)安全等級與標準 10.1 國際安全評價標準概述國際安全評價標準概述 10.2 中國信息安全等級保護準則中國信息安全等級保護準則 習習 題題 安全需求與安全代價，總是安全問題上相互對立的統(tǒng)一體。對于信息技術(shù)、信息系統(tǒng)和信息產(chǎn)品的安全等級進行評價，將會使生產(chǎn)者和用戶在這兩個方面容易找到一個科學的折中。因此，建立完善的信息技術(shù)安全的測評標準與認證體系，規(guī)范信息技術(shù)產(chǎn)品和系統(tǒng)的安全特性，是實現(xiàn)信息安全保障的一種有效措施。它有助于建立起科學的安全產(chǎn)品生產(chǎn)體系、服務體系。 10.1 國際安全評價標準概述國際安全評價標準概述 10.1.1 DoD5200.28-M

2、和和TCSEC 10.1.2 歐共體信息技術(shù)安全評價準則歐共體信息技術(shù)安全評價準則ITSEC 10.1.3 加拿大可信計算機產(chǎn)品安全評價準則加拿大可信計算機產(chǎn)品安全評價準則CTCPEC 10.1.4 美國信息技術(shù)安全評價聯(lián)邦準則美國信息技術(shù)安全評價聯(lián)邦準則FC 10.1.5 國際通用準則國際通用準則CC 第一個有關(guān)信息技術(shù)安全的標準是美國國防部于1985年提出的可信計算機系統(tǒng)評價準則TCSEC，又稱桔皮書。以后，許多國家和國際組織也相繼提出了新的安全評價準則。圖10.1所示為國際主要信息技術(shù)安全測評標準的發(fā)展及其聯(lián)系。 加拿大可信計算加拿大可信計算機機產(chǎn)品評價準則產(chǎn)品評價準則CTCOEC（19

3、89年）年）美國國防部可美國國防部可信信計算機評價準計算機評價準則則TCSEC（1983年）年）美國聯(lián)邦準則美國聯(lián)邦準則FC（1992年）年）國際通用準則國際通用準則（CC） （1996年）年） CC成為國際成為國際標準標準ISO 15408 （1999年）年） 歐洲信息技術(shù)歐洲信息技術(shù)安全性評價準則安全性評價準則ITSEC（1991年）年）美國國防部美國國防部DoD5200.28-M（1979年年6月月）GB17859-1999 （1999年）年） 圖圖10.1 國際主要信息技術(shù)安全測評標準的發(fā)展及其聯(lián)系國際主要信息技術(shù)安全測評標準的發(fā)展及其聯(lián)系 在信息安全等級標準中，一個非常重要的概念是可

4、信計算基（Trusted Computer Base，TCB）。TCB是計算機系統(tǒng)內(nèi)保護裝置的總體，包括硬件、固件和軟件。它們根據(jù)安全策略來處理主體（系統(tǒng)管理員、安全管理員、用戶、進程）對客體（進程、文件、記錄、設備等）的訪問。TCB還具有抗篡改的性能和易于分析與測試的結(jié)構(gòu)。 10.1.1 10.1.1 DoD5200.28-MDoD5200.28-M和和TCSECTCSEC 1. DoD5200.28-M 世界上最早的計算機系統(tǒng)安全標準應當是美國國防部1979年6月25日發(fā)布的軍標DoD5200.28-M。它為計算機系統(tǒng)定義了4種不同的運行模式。 （1）受控的安全模式：系統(tǒng)用戶對系統(tǒng)的機密材

5、料的訪問控制沒有在操作系統(tǒng)中實現(xiàn)，安全的實現(xiàn)可以通過空子用戶對機器的操作權(quán)等管理措施實現(xiàn)。 （2）自主安全模式：計算機系統(tǒng)和外圍設備可以在指定用戶或用戶群的控制下工作，該類用戶了解并可自主地設置機密材料的類型與安全級別。 （3）多級安全模式：系統(tǒng)允許不同級別和類型的機密資料并存和并發(fā)處理，并且有選擇地許可不同的用戶對存儲數(shù)據(jù)進行訪問。用戶與數(shù)據(jù)的隔離控制由操作系統(tǒng)和相關(guān)系統(tǒng)軟件實現(xiàn)。 （4）強安全模式：所有系統(tǒng)部件依照最高級別類型得到保護，所有系統(tǒng)用戶必須有一個安全策略；系統(tǒng)的控制操作對用戶透明，由系統(tǒng)實現(xiàn)對機密材料的并發(fā)控制。 2. TCSEC TCSEC是計算機系統(tǒng)安全評價的第一個正式標準

6、，于1970年由美國國防科學技術(shù)委員會提出，于1985年12月由美國國防部公布。 TCSEC把計算機系統(tǒng)的安全分為4等7級： （1）D等（含1級） D1級系統(tǒng)：最低級。只為文件和用戶提供安全保護。 （2）C等（含2級） C1級系統(tǒng)：可信任計算基TCB（Trusted Computing Base）通過用戶和數(shù)據(jù)分開來達到安全目的，使所有的用戶都以同樣的靈敏度處理數(shù)據(jù)（可認為所有文檔有相同機密性） C2級系統(tǒng)：在C1基礎(chǔ)上，通過登錄、安全事件和資源隔離增強可調(diào)的審慎控制。在連接到網(wǎng)上時，用戶分別對自己的行為負責。 （3）B等（含3級） B級具有強制性保護功能。強制性意味著在沒有與安全等級相連的情

7、況下，系統(tǒng)就不會讓用戶寸取對象。 （a）B1級系統(tǒng)： 對每個對象都進行靈敏度標記，導入非標記對象前要先標記它們； 用靈敏度標記作為強制訪問控制的基礎(chǔ)； 靈敏度標記必須準確地表示其所聯(lián)系的對象的安全級別； 系統(tǒng)必須使用用戶口令或身份認證來決定用戶的安全訪問級別； 系統(tǒng)必須通過審計來記錄未授權(quán)訪問的企圖。 （b）B2級系統(tǒng)： 必須符合B1級系統(tǒng)的所有要求； 系統(tǒng)管理員必須使用一個明確的、文檔化的安全策略模式作為系統(tǒng)可信任運算基礎(chǔ)體制；可信任運算基礎(chǔ)體制能夠支持獨立的操作者和管理員； 只有用戶能夠在可信任通信路徑中進行初始化通信； 所有與用戶相關(guān)的網(wǎng)絡連接的改變必須通知所有的用戶。 （c）B3級系統(tǒng)

8、具有很強的監(jiān)視委托管理訪問能力和抗干擾能力。要求： 必須符合B2系統(tǒng)所有安全需求； 必須設有安全管理員； 除控制個別對象的訪問外，必須產(chǎn)生一個可讀的安全列表；每個被命名的對象提供對該對象沒有訪問的用戶列表說明； 系統(tǒng)驗證每一個用戶身份，并會發(fā)送一個取消訪問的審計跟蹤消息； 設計者必須正確區(qū)分可信任路徑和其他路徑； 可信任的通信基礎(chǔ)體制為每一個被命名的對象建立安全審計跟蹤； 可信任的運算基礎(chǔ)體制支持獨立的安全管理。 （4）A等（只含1級）最高安全級別 A1級與B3級相似，對系統(tǒng)的結(jié)構(gòu)和策略不作特別要求，而系統(tǒng)的設計者必須按照一個正式的設計規(guī)范進行系統(tǒng)分析；分析后必須用核對技術(shù)確保系統(tǒng)符合設計規(guī)范

9、。A1系統(tǒng)必須滿足： 系統(tǒng)管理員必須接收到開發(fā)者提供的安全策略正式模型； 所有的安裝操作都必須由系統(tǒng)管理員進行； 系統(tǒng)管理員進行的每一步安裝操作必須有正式的文檔。 TCSEC的初衷主要是針對集中式計算的分時多用戶操作系統(tǒng)。后來又針對網(wǎng)絡（分布式）和數(shù)據(jù)庫管理系統(tǒng)（C/S結(jié)構(gòu)）補充了一些附加說明和解釋，典型的有可信計算機網(wǎng)絡系統(tǒng)說明（NCSC-TG-005）和可信數(shù)據(jù)庫管理系統(tǒng)解釋等。 10.1.2 10.1.2 歐共體信息技術(shù)安全評價準則歐共體信息技術(shù)安全評價準則ITSECITSEC ITSEC是歐共體于1991年發(fā)布的，它是歐洲多國安全評價方法的綜合產(chǎn)物，應用領(lǐng)域為軍隊、政府和商業(yè)。該標準將

10、安全的概念分為功能和評估兩部分。 1. 功能準則 分為10級：F1F10： F1F5對應TCSEC的DA； F6F10對應數(shù)據(jù)和程序的完整性，系統(tǒng)的可用性，數(shù)據(jù)通信的完整性、保密性。 2. 評估準則 分為6級，分別是測試、配置控制和可控的分配、詳細設計和編碼、詳細的脆弱性分析、設計于源代碼明顯對應以及設計與源代碼在形式上的一致。 10.1.3 10.1.3 加拿大可信計算機產(chǎn)品安全評價準則加拿大可信計算機產(chǎn)品安全評價準則CTCPECCTCPEC CTCPEC是加拿大于1993年發(fā)布的。它綜合了TCSEC和ITSEC兩個準則的優(yōu)點，專門針對政府需求設計。它將安全分為功能性需求和保證性需求兩部分。

11、功能性需求分為4大類： 機密性； 可用性； 完整性； 可控性。 每一種安全需求又分為一些小類（分級條數(shù)05），以表示安全性上的差別。 10.1.4 10.1.4 美國信息技術(shù)安全評價聯(lián)邦準則美國信息技術(shù)安全評價聯(lián)邦準則FC FC FC也是吸收了TCSEC和ITSEC兩個準則的優(yōu)點于1993年發(fā)布的。它引入了“保護輪廓（PP）”的概念。每個輪廓都包括功能、開發(fā)保證和評價三部分，在美國政府、民間和商業(yè)上應用很廣。 10.1.5 10.1.5 國際通用準則國際通用準則CC CC 1993年6月，歐、美、加等有關(guān)6國，將各自獨立的準則集合成一系列單一的、能被廣泛接受的IT安全準則通用準則CC，將CC提

12、交給ISO，并于1996年頒布了1.0版。1999年12月ISO正式將CC 2.0（1998年頒布）作為國際標準ISO 15408發(fā)布。 CC的主要思想和框架都取自ITSEC和FC，并突出了“保護輪廓”的概念。它將評估過程分為安全保證和安全功能兩部分。安全保證要求為7個評估保證級別： EAL1：功能測試 EAL2：結(jié)構(gòu)測試 EAL3：系統(tǒng)測試和檢查 EAL4：系統(tǒng)設計、測試和復查 EAL5：半形式化設計和測試 EAL6：半形式化驗證的設計和測試 EAL7：集成化驗證的設計和測試 表10.1為CC、TCSEC、ITSEC標準之間的對應關(guān)系。 CCTCSECITSECDEAL1E1EAL2C1E2

13、EAL3C2E3EAL4B1E4EAL5B2E5EAL6B3E6EAL7AE7表表10.1 CC、TCSEC、ITSEC標準之間的對應關(guān)系標準之間的對應關(guān)系 CC目前已經(jīng)發(fā)布了如下的版本： 1996年6月發(fā)布CC第1版； 1998年5月發(fā)布CC第2版； 1999年10月發(fā)布CC第2.1版，并成為ISO標準。 10.2 中國信息安全等級保護準則中國信息安全等級保護準則 10.2.1 第一級：用戶自主保護級第一級：用戶自主保護級 10.2.2 第二級：系統(tǒng)審計保護級第二級：系統(tǒng)審計保護級 10.2.3 第三級：安全標記保護級第三級：安全標記保護級 10.2.4 第四級：結(jié)構(gòu)化保護級第四級：結(jié)構(gòu)化保

14、護級 10.2.5 第五級：訪問驗證保護級第五級：訪問驗證保護級 習習 題題 中國已經(jīng)發(fā)布實施計算機信息系統(tǒng)安全保護等級劃分準則GB17859-1999。這是一部強制性國家標準，也是一種技術(shù)法規(guī)。它是在參考了DoD 5200.28-STD和NCSC-TC-005的基礎(chǔ)上，從自主訪問控制、強制訪問控制、標記、身份鑒別、客體重用、審計、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑和可恢復等10個方面將計算機信息系統(tǒng)安全保護等級劃分為5個級別的安全保護能力： 第一級：用戶自主保護級； 第二級：系統(tǒng)審計保護級； 第三級：安全標記保護級； 第四級：結(jié)構(gòu)化保護級； 第五級：訪問驗證保護級。 計算機信息系統(tǒng)的安全保護

15、能力隨著安全保護等級的增高而增強。 在信息安全等級標準中，各等級之間的差異在于TCB的構(gòu)造不同以及其所具有的安全保護能力的不同。下面介紹各等級的基本內(nèi)容。 10.2.1 10.2.1 第一級：用戶自主保護級第一級：用戶自主保護級 本級的可信計算基通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護的能力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。 （1）自主訪問控制： 可信計算基定義系統(tǒng)中的用戶和命名用戶對命名客體的訪問，并允許命名用戶以自己的身份和（或）用戶組的身份指定并控制對客體的訪問；阻止非授權(quán)用戶讀取敏感信息。

16、 （2）身份鑒別： 從用戶的角度看，可信計算基的責任就是進行身份鑒別。在系統(tǒng)初始化時，首先要求用戶標識自己的身份，并使用保護機制（例如：口令）來鑒別用戶的身份，阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。 （3）數(shù)據(jù)完整性：可信計算基通過自主完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。 10.2.2 10.2.2 第二級：系統(tǒng)審計保護級第二級：系統(tǒng)審計保護級 這一級除具備第一級所有的安全功能外，要求創(chuàng)建和維護訪問的審計跟蹤記錄，使所有用戶對自己的合法性行為負責。具體保護能力如下。 （1）自主訪問控制：可信計算基定義實施的訪問控制的粒度是單個用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán)。

17、（2）身份鑒別比用戶自主保護級增加兩點： 通過為用戶提供惟一標識，可信計算基使用戶對自己的行為負責。 具備將身份標識與該用戶所有可審計行為相關(guān)聯(lián)的能力。 （3）客體重用： 在可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤銷該客體所含信息的所有授權(quán)。當主體獲得對一個已被釋放的客體的訪問權(quán)時，當前主體不能獲得原主體活動所產(chǎn)生的任何信息。 （4）審計： 在可信計算基能創(chuàng)建和維護受保護客體的訪問審計跟蹤記錄，并能阻止非授權(quán)的用戶對它訪問或破壞。 可信計算基能記錄下述事件：使用身份鑒別機制；將客體引入用戶地址空間（例如：打開文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員

18、或（和）系統(tǒng)安全管理員實施的動作，以及其他與系統(tǒng)安全有關(guān)的事件。對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件，審計記錄包含請求的來源（例如：終端標識符）；對于客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體名。對不能由可信計算基獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權(quán)主體調(diào)用。這些審計記錄區(qū)別于計算機信息系統(tǒng)可信計算基獨立分辨的審計記錄。 （5）數(shù)據(jù)完整性：可信計算基通過自主完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。 10.2.3 10.2.3 第三級：安全標記保護級第三級：安全標記保護級 本級的可信計算基具有系統(tǒng)審

19、計保護級的所有功能。此外，還需以訪問對象的安全級別限制訪問者的訪問權(quán)限，實現(xiàn)對訪問對象的強制訪問。為此需要提供有關(guān)安全策略模型、數(shù)據(jù)標記以及主體對客體強制訪問控制的非形式化描述，具有準確地標記輸出信息的能力，消除測試發(fā)現(xiàn)的任何錯誤。 （1）自主訪問控制：同系統(tǒng)審計保護級。 （2）強制訪問控制： 可信計算基對所有主體及其控制的客體（例如：進程、文件、段、設備）實施強制訪問控制。通過敏感標記為這些主體及客體指定安全等級。安全等級用二維組表示：第一維是等級分類（如秘密、機密、絕密等），第二維是范疇（如適用范疇）。它們是實施強制訪問控制的依據(jù)?？尚庞嬎慊С謨煞N或兩種以上成分組成的安全級。可信計算基控

20、制的所有主體對客體等級分類的訪問： 僅當主體安全級中的等級分類高于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能讀客體； 僅當主體安全級中的等級分類低于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能寫一個客體。 可信計算基使用身份和鑒別數(shù)據(jù)，鑒別用戶的身份，并保證用戶創(chuàng)建的可信計算基外部主體的安全級和授權(quán)受該用戶的安全級和授權(quán)的控制。 （3）敏感標記： 敏感標記是實施強制訪問的基礎(chǔ)?？尚庞嬎慊鶓鞔_規(guī)定需要標記的客體（例如：進程、文件、段、設備），明確定義標記的粒度（如文件級、字段級等）

21、，并必須使其主要數(shù)據(jù)結(jié)構(gòu)具有相關(guān)的敏感標記。為了輸入未加安全標記的數(shù)據(jù)，可信計算基向授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級別，且可由計算機信息系統(tǒng)可信計算基審計。 （4）身份鑒別； 可信計算基初始執(zhí)行時，首先要求用戶標識自己的身份，而且，可信計算基維護用戶身份識別數(shù)據(jù)并確定用戶訪問權(quán)及授權(quán)數(shù)據(jù)。其他同系統(tǒng)審計保護級。 （5）客體重用； 在統(tǒng)可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤銷客體所含信息的所有授權(quán)。當主體獲得對一個已被釋放的客體的訪問權(quán)時，前主體不能獲得原主體活動所產(chǎn)生的任何信息。 （6）審計 可信計算基能創(chuàng)建和維護受保護客體的訪問審計跟蹤記錄，并能阻止非

22、授權(quán)的用戶對它訪問或保護?？尚庞嬎慊苡涗浵率鍪录菏褂蒙矸蓁b別機制；將客體引入用戶地址空間（例如：打開文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實施的動作，以及其他與系統(tǒng)安全有關(guān)的事件。對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別的事件，審計記錄包含請求的來源（例如：終端標識符）對于客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體名及客體的安全級別。此外，可信計算基具有審計更改可讀輸出記號的能力。對不能由可信計算基獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權(quán)主體調(diào)用。這些審計記錄區(qū)別于可信計算基獨

23、立分辨的審計記錄。 （7）數(shù)據(jù)完整性 可信計算基通過自主和強制完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡環(huán)境中，使用完整性敏感標記來確保信息在傳送中未受損。 10.2.4 10.2.4 第四級：結(jié)構(gòu)化保護級第四級：結(jié)構(gòu)化保護級 本級的計算機信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上，將它要求第三級系統(tǒng)中的自主和強制訪問控制擴展到所以主體與客體。此外，還要考慮隱蔽信道。本級的可信計算基必須結(jié)構(gòu)化為關(guān)鍵保護元素和非關(guān)鍵保護元素；可信計算基的接口也必須明確定義，使其設計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復審；加強了鑒別機制；支持系統(tǒng)管理員和操作員的職能；提供可信設施管理；

24、增強了配置管理控制。系統(tǒng)具有相當?shù)目節(jié)B透能力。 安全標記保護級相比，起主要特征有： （1）可信計算基基于一個明確定義的形式化安全保護策略。 （2）將第三級實施的（自主或強制）訪問控制擴展到所有主體和客體。即在自主訪問控制方面，可信計算基應維護由外部主體能夠直接或間接訪問的所有資源（例如：主體、存儲客體和輸入輸出資源）實施強制訪問控制，為這些主體及客體指定敏感標記，這些標記是等級分類和非等級類別的組合，他們是實施強制訪問控制的依據(jù)。 （3）審計方面： 計算機信息系統(tǒng)可信計算基能記錄下述事件：使用身份鑒別機制；將客體引入用戶地址空間（例如：打開文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（

25、和）系統(tǒng)安全管理員實施的動作，以及其他與系統(tǒng)安全有關(guān)的事件。對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件，審計記錄包含請求的來源（例如：終端標識符）；對于客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體名及客體的安全級別。此外，計算機信息系統(tǒng)可信計算基具有審計更改可讀輸出記號的能力。 對不能由計算機信息系統(tǒng)可信計算基獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權(quán)主體調(diào)用這些審計記錄區(qū)別于計算機信息系統(tǒng)可信計算基獨立分辨的審計記錄。 計算機信息系統(tǒng)可信計算基能夠?qū)徲嬂秒[蔽存儲信道時可能被使用的事件。 （4）數(shù)據(jù)完整性： 計算機信息系統(tǒng)可信計算基通過自主和強制完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡環(huán)境中，使用完整性敏感標記來確保信息在傳送中未受損。 （5）隱蔽信道分析： 系統(tǒng)開發(fā)者應徹底搜索隱蔽存儲信道，并根據(jù)實際測量或工程估算確定每一個被標識信道的最大帶寬。 （6）可信路徑： 對用戶的初始登錄和鑒別，計算機信息系統(tǒng)可信計算